Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
1 Sprejeto
Smernice 2/2019 o obdelavi osebnih podatkov na podlagi
člena 6(1)(b) Splošne uredbe o varstvu podatkov v okviru
zagotavljanja spletnih storitev posameznikom, na katere se
nanašajo osebni podatki
Različica 2.0
8. oktober 2019
2 Sprejeto
Zgodovina različic
Različica 2.0 8. oktober 2019 Sprejetje smernic po javnem posvetovanju
Različica 1.0 9. april 2019 Sprejetje smernic za javno posvetovanje
3 Sprejeto
1 Del 1 – uvod...................................................................................................................................... 4
1.1 Ozadje....................................................................................................................................... 4
1.2 Področje uporabe teh smernic ................................................................................................. 5
2 Del 2 – analiza člena 6(1)(b) ............................................................................................................. 6
2.1 Splošne ugotovitve ................................................................................................................... 6
2.2 Medsebojno vplivanje člena 6(1)(b) in drugih pravnih podlag za obdelavo............................ 7
2.3 Področje uporabe člena 6(1)(b) ............................................................................................... 8
2.4 Potrebnost ................................................................................................................................ 8
2.5 Potrebno za izvajanje pogodbe s posameznikom, na katerega se nanašajo osebni podatki .. 9
2.6 Prenehanje pogodbe .............................................................................................................. 12
2.7 Potrebno za izvajanje ukrepov pred sklenitvijo pogodbe ...................................................... 13
3 Del 3 – uporaba člena 6(1)(b) v posebnih primerih ....................................................................... 14
3.1 Obdelava zaradi izboljšave storitve ....................................................................................... 14
3.2 Obdelava zaradi preprečevanja goljufij ................................................................................. 14
3.3 Obdelava zaradi spletnega vedenjskega oglaševanja ............................................................ 14
3.4 Obdelava zaradi osebne prilagoditve vsebine ....................................................................... 16
4 Sprejeto
Evropski odbor za varstvo podatkov je –
ob upoštevanju člena 70(1)(e) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne
27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih
podatkov ter o razveljavitvi Direktive 95/46/ES –
SPREJEL NASLEDNJE SMERNICE:
1 DEL 1 – UVOD
1.1 Ozadje
1. V skladu s členom 8 Listine Evropske unije o temeljnih pravicah se morajo osebni podatki obdelovati
pošteno, za določene namene in na legitimni podlagi, določeni z zakonom. V zvezi s tem člen 6(1)
Splošne uredbe o varstvu podatkov1 določa, da je obdelava zakonita le na podlagi enega od šestih
opredeljenih pogojev iz člena 6(1)(a) do (f). Določitev ustrezne pravne podlage, ki ustreza cilju in
bistvu obdelave, je ključnega pomena. Upravljavci morajo pri določanju ustrezne zakonite podlage
med drugim upoštevati vpliv na pravice posameznikov, na katere se nanašajo osebni podatki, da se
zagotovi spoštovanje načela pravičnosti.
2. Člen 6(1)(b) Splošne uredbe o varstvu podatkov je pravna podlaga za obdelavo osebnih podatkov, če
je obdelava „potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega
se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo
pogodbe“2. To podpira svobodo gospodarske pobude, ki je zagotovljena v členu 16 Listine EU o
temeljnih pravicah, in izraža dejstvo, da pogodbenih obveznosti do posameznika, na katerega se
nanašajo osebni podatki, včasih ni mogoče izpolniti, če posameznik, na katerega se nanašajo osebni
podatki, ne predloži določenih osebnih podatkov. Če je neka obdelava sestavni del izvedbe zahtevane
storitve, je v interesu obeh strani, da se navedeni podatki obdelajo, saj v nasprotnem primeru
storitve ne bo mogoče opraviti, niti ne bo mogoče izpolniti pogodbe. Čeprav se lahko opira na to ali
eno od drugih pravnih podlag iz člena 6(1), mora upravljavec upoštevati druge zahteve iz Splošne
uredbe o varstvu podatkov.
3. Člena 56 in 57 Pogodbe o delovanju Evropske unije opredeljujeta in urejata svobodo opravljanja
storitev v Evropski uniji. V zvezi s „storitvami informacijske družbe“ so bili sprejeti posebni
zakonodajni ukrepi EU3. Te storitve so opredeljene tako, da „pomenijo katero koli storitev
informacijske družbe ali katero koli storitev, ki se običajno opravi odplačno, na daljavo, elektronsko in
na posamezno zahtevo prejemnika storitev”. Ta opredelitev pojma je razširjena na storitve, ki jih
prejemniki ne plačajo neposredno4, kot so spletne storitve, financirane z oglaševanjem. Pojem
„spletne storitve“, kakor je uporabljen v teh smernicah, se nanaša na „storitve informacijske družbe“.
1 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov). 2 Glej tudi uvodno izjavo 44. 3 Glej na primer Direktivo (EU) 2015/1535 Evropskega parlamenta in Sveta ter člen 8 Splošne uredbe o varstvu podatkov. 4 Glej uvodno izjavo 18 Direktive 2000/31/ES Evropskega parlamenta in Sveta z dne 8. junija 2000 o nekaterih pravnih vidikih storitev informacijske družbe, zlasti elektronskega poslovanja na notranjem trgu.
5 Sprejeto
4. Razvoj prava EU odraža osrednji pomen spletnih storitev v sodobni družbi. Širjenje vedno vključenega
mobilnega interneta in široko razširjena dostopnost povezanih naprav sta omogočila razvoj spletnih
storitev na področjih, kot so družbeni mediji, e-trgovanje, internetno iskanje, komunikacije in
potovanja. Nekatere od teh storitev se financirajo s plačili uporabnikov, druge pa so zagotovljene
brez denarnega plačila potrošnika in se namesto tega financirajo s prodajo storitev spletnega
oglaševanja, ki omogočajo ciljanje posameznikov, na katere se nanašajo osebni podatki. Spremljanje
vedenja uporabnikov za tako oglaševanje se pogosto izvaja na način, ki se ga uporabnik pogosto ne
zaveda5, poleg tega to iz narave opravljene storitve ni nujno takoj razvidno, zaradi česar je v praksi za
posameznika, na katerega se nanašajo osebni podatki, nemogoče, da bi o uporabi svojih podatkov
sprejel informirano odločitev.
5. Glede na navedeno Evropski odbor za varstvo podatkov6 meni, da je primerno zagotoviti navodila za
uporabo člena 6(1)(b) v zvezi z obdelavo osebnih podatkov v okviru spletnih storitev, da bi zagotovili,
da se to pravno podlago uporabi le, kadar je to ustrezno.
6. Delovna skupina iz člena 29 je v svojem mnenju o pojmu zakonitih interesov upravljavca podatkov7 že
izrazila stališča o pogodbeni potrebnosti v skladu z Direktivo 95/46/ES. Na splošno ta navodila veljajo
tudi za člen 6(1)(b) in Splošno uredbo o varstvu podatkov.
1.2 Področje uporabe teh smernic
7. Te smernice obravnavajo uporabo člena 6(1)(b) v zvezi z obdelavo osebnih podatkov v okviru pogodb
o spletnih storitvah, ne glede na to, kako so storitve financirane. V smernicah bodo opisani elementi
zakonite obdelave na podlagi člena 6(1)(b) Splošne uredbe o varstvu podatkov, poleg tega bo
obravnavan koncept „potrebnosti“, kakor se nanaša na „potrebno za izvajanje pogodbe“.
8. Čeprav pravila o varstvu podatkov urejajo pomembne vidike interakcije spletnih storitev z njihovimi
uporabniki, se uporabljajo tudi druga pravila. Urejanje spletnih storitev zajema več funkcijske
odgovornosti na področjih, kot sta med drugim pravo varstva potrošnikov in konkurenčno pravo.
Vprašanja, povezana s tema pravnima področjema, presegajo področje uporabe teh smernic.
9. Čeprav se lahko člen 6(1)(b) uporablja le v pogodbenem okviru, se te smernice ne opredeljujejo do
veljavnosti pogodb o spletnih storitvah na splošno, saj je to izven pristojnosti Evropskega odbora za
varstvo podatkov. Kljub temu morajo biti pogodbe in pogodbene določbe skladne z zahtevami
pogodbene zakonodaje in, pri potrošniških pogodbah, z zahtevami zakonodaje, ki ureja varstvo
potrošnikov, da se lahko obdelava na podlagi navedenih pogojev šteje za pošteno in zakonito.
10. V nadaljevanju so navedene nekatere splošne ugotovitve o načelih varstva podatkov, vendar vsa
vprašanja v zvezi z varstvom podatkov, ki se lahko pojavijo pri obdelavi na podlagi člena 6(1)(b), ne
bodo obravnavana. Upravljavci morajo vedno poskrbeti, da upoštevajo načela varstva podatkov iz
člena 5 in vse druge zahteve iz Splošne uredbe o varstvu podatkov ter po potrebi zakonodajo, ki ureja
e-zasebnost.
5 V zvezi s tem morajo upravljavci izpolniti obveznosti glede preglednosti iz Splošne uredbe o varstvu podatkov. 6 Ustanovljen na podlagi člena 68 Splošne uredbe o varstvu podatkov. 7 Mnenje delovne skupine iz člena 29 št. 6/2014 o pojmu zakonitih interesov upravljavca podatkov iz člena 7 Direktive 95/46/ES (WP217). Glej zlasti strani 11, 16, 17, 18 in 55.
6 Sprejeto
2 DEL 2 – ANALIZA ČLENA 6(1)(B)
2.1 Splošne ugotovitve
11. Pravno podlago za obdelavo na podlagi člena 6(1)(b) je treba obravnavati v okviru Splošne uredbe o
varstvu podatkov kot celote, ciljev iz člena 1 in skupaj z dolžnostjo upravljavcev, da osebne podatke
obdelujejo v skladu z načeli varstva podatkov na podlagi člena 5. To zajema pošteno in pregledno
obdelavo osebnih podatkov v skladu z obveznostmi glede omejitve namena ter najmanjšega obsega
podatkov.
12. Člen 5(1)(a) Splošne uredbe o varstvu podatkov določa, da morajo biti osebni podatki v zvezi s
posameznikom, na katerega se nanašajo, obdelani zakonito, pošteno in pregledno. Načelo
pravičnosti med drugim zajema priznavanje razumnih pričakovanj8 posameznikov, na katere se
nanašajo osebni podatki, upoštevanje mogočih škodljivih posledic obdelave za take posameznike in
upoštevanje razmerja ter mogočih učinkov neravnovesja med njimi in upravljavcem.
13. Kot že navedeno, morajo biti pogodbe o spletnih storitvah veljavne v skladu z veljavno pogodbeno
zakonodajo. Primer pomembnega dejavnika je, ali je posameznik, na katerega se nanašajo osebni
podatki, otrok. V takem primeru mora upravljavec (poleg izpolnjevanja zahtev iz Splošne uredbe o
varstvu podatkov, vključno s „posebnim varstvom“, ki se uporablja pri otrocih)9 poskrbeti, da
upošteva ustrezno nacionalno zakonodajo, ki ureja sposobnost otrok za sklepanje pogodb. Poleg tega
mora za zagotovitev skladnosti z načeloma pravičnosti in zakonitosti izpolniti druge pravne zahteve.
Na primer: za potrošniške pogodbe se lahko uporablja Direktiva Sveta 93/13/EGS o nedovoljenih
pogojih v potrošniških pogodbah (v nadaljevanju: Direktiva o nedovoljenih pogodbenih pogojih)10.
Člen 6(1)(b) ni omejen na pogodbe, ki jih ureja zakonodaja države članice EGP11.
14. Člen 5(1)(b) Splošne uredbe o varstvu podatkov določa načelo omejitve namena, po katerem morajo
biti osebni podatki zbrani za določene, izrecne in zakonite namene in se ne smejo dodatno obdelovati
na način, ki ni združljiv s temi nameni.
15. Člen 5(1)(c) določa kot načelo najmanjši obseg podatkov, tj. obdelovanje kar najmanj podatkov, kot
je mogoče za dosego določenega namena. Ta ocena dopolnjuje ocene potrebnosti v skladu s
členom 6(1)(b) do (f).
16. Načeli omejitve namena in najmanjšega obsega podatkov sta zlasti pomembni pri pogodbah o
spletnih storitvah, o katerih se stranki običajno ne dogovorita posamično. Upravljavci lahko zaradi
tehnološkega napredka lažje zbirajo in obdelujejo več osebnih podatkov kot kdaj prej. Posledično
obstaja veliko tveganje, da bodo upravljavci podatkov v pogodbe poskušali vključiti splošne pogoje
8 Za nekatere osebne podatke se pričakuje, da so zasebni ali da se obdelujejo le na nekatere načine, obdelava podatkov pa posameznika, na katerega se nanašajo osebni podatki, ne bi smela presenetiti. V Splošni uredbi o varstvu podatkov je koncept „razumnih pričakovanj” posebej naveden v uvodnih izjavah 47 in 50 v povezavi s členom 6(1)(f) in (4). 9 Glej uvodno izjavo 38, v skladu s katero otroci potrebujejo posebno varstvo v zvezi s svojimi osebnimi podatki, saj se morda manj zavedajo zadevnih tveganj, posledic in zaščitnih ukrepov ter svojih pravic v zvezi z obdelavo osebnih podatkov. 10 Pogodbeni pogoj, o katerem se stranki nista dogovorili posamično, velja po Direktivi o nedovoljenih pogodbenih pogojih za nedovoljenega, „če v nasprotju z zahtevo dobre vere v škodo potrošnika povzroči znatno neravnotežje v pogodbenih pravicah in obveznostih strank“. Tako kot obveznost glede preglednosti iz Splošne uredbe o varstvu podatkov se tudi po Direktivi o nedovoljenih pogodbenih pogojih zahteva uporaba jasnega in razumljivega jezika. Obdelava osebnih podatkov, ki temelji na pogoju, ki se po Direktivi o nedovoljenih pogodbenih pogojih šteje za nedovoljenega, na splošno ne bo skladna z zahtevo iz člena 5(1)(a) Splošne uredbe o varstvu podatkov, da je obdelava zakonita in poštena. 11 Splošna uredba o varstvu podatkov se uporablja za nekatere upravljavce zunaj EGP. Glej člen 3 Splošne uredbe o varstvu podatkov.
7 Sprejeto
obdelave, da bi zagotovili kar največje mogoče zbiranje in uporabo podatkov, ne da bi te namene
ustrezno opredelili ali upoštevali obveznosti glede najmanjšega obsega podatkov. Delovna skupina iz
člena 29 je že navedla:
Namen zbiranja mora biti jasno in določno opredeljen: mora biti dovolj podroben, da se
ugotovi, katera vrsta obdelave je vključena v navedeni namen in katera ni vključena, ter da se
omogočita ocena skladnosti z zakonodajo in uporaba zaščitnih ukrepov za varstvo podatkov.
Zato namen, ki je nejasen ali splošen, kot na primer „izboljšanje uporabniške izkušnje“, „tržni
nameni“, „nameni zagotavljanja informacijske varnosti“ ali „nadaljnje raziskave“, brez
dodatnih podrobnosti običajno ne bo izpolnjeval meril, po katerih je „določen“. 12
2.2 Medsebojno vplivanje člena 6(1)(b) in drugih pravnih podlag za obdelavo
17. Če se za obdelavo ne šteje, da je „potrebna za izvajanje pogodbe“, tj. kadar se zahtevana storitev
lahko opravi brez določene obdelave, Evropski odbor za varstvo podatkov potrjuje, da je mogoče
uporabiti drugo pravno podlago, če so izpolnjeni ustrezni pogoji. Zlasti se je v nekaterih okoliščinah
ustrezneje opreti na prostovoljno dano privolitev v skladu s členom 6(1)(a). V drugih primerih je
morda člen 6(1)(f) ustreznejša zakonita podlaga za obdelavo. Pravno podlago je treba opredeliti že na
začetku obdelave, v skladu s členoma 13 in 14 pa morajo biti posamezniki, na katere se nanašajo
osebni podatki, z navedeno pravno podlago seznanjeni v informacijah, ki jih dobijo.
18. Mogoče je, da namesto člena 6(1)(b) druga pravna podlaga bolje ustreza cilju in okviru zadevnega
dejanja obdelave. Opredelitev ustrezne pravne podlage je povezana z načeloma pravičnosti in
omejitve namena13.
19. Tudi v smernicah Delovne skupine iz člena 29 o privolitvi je pojasnjeno, da če „želi upravljavec
obdelati osebne podatke, ki so dejansko potrebni za izvajanje pogodbe, potem privolitev ni ustrezna
pravna podlaga“. Nasprotno, Evropski odbor za varstvo podatkov meni, da če obdelava ni dejansko
potrebna za izvajanje pogodbe, se taka obdelava lahko izvede le, če se opira na drugo ustrezno
pravno podlago14.
20. V skladu s svojimi obveznostmi glede preglednosti bi morali upravljavci poskrbeti, da se prepreči
kakršna koli nejasnost glede pravne podlage, ki se uporablja. To je zlasti pomembno, kadar je
ustrezna pravna podlaga člen 6(1)(b) in če posamezniki, na katere se nanašajo osebni podatki,
sklenejo pogodbo v zvezi s spletnimi storitvami. Posamezniki, na katere se nanašajo osebni podatki,
lahko glede na okoliščine dobijo napačen vtis, da pri podpisu pogodbe ali sprejetju pogojev storitve
dajejo privolitev v skladu s členom 6(1)(a). Hkrati lahko upravljavec napačno domneva, da podpis
pogodbe ustreza privolitvi v smislu člena 6(1)(a). Gre za popolnoma različna pojma. Pomembno je
razlikovati med tem, da se ob sklenitvi pogodbe sprejmejo pogoji storitve, in tem, da se poda
privolitev v smislu člena 6(1)(a), saj imata ta pojma različne zahteve in pravne posledice.
21. V zvezi z obdelavo posebnih vrst osebnih podatkov je Delovna skupina iz člena 29 v smernicah o
privolitvi ugotovila še, da:
12 Article 29 Working Party Opinion 03/2013 on purpose limitation (Mnenje Delovne skupine iz člena 29 št. 3/2013 o omejitvi
namena) (WP203), strani 15–16. 13 Upravljavci bodo težko opredelili ustrezno pravno podlago v skladu z načelom pravičnosti, če niso najprej jasno opredelili namenov obdelave ali če obdelava osebnih podatkov presega tisto, kar je potrebno za specifične namene. 14 Za več informacij o posledicah v zvezi s členom 9 glej Smernice Delovne skupine iz člena 29 o privolitvi na podlagi Uredbe 2016/679 (WP259), ki jih je potrdil Evropski odbor za varstvo podatkov, strani 19–20.
8 Sprejeto
Člen 9(2) ne priznava obdelave, „potrebne za izvajanje pogodbe“, kot izjeme od splošne
prepovedi obdelave posebnih vrst podatkov. Zato bi morali upravljavci in države članice, ki
obravnavajo ta položaj, preučiti posebne izjeme iz člena 9(2)(b) do (j). Če se ne uporablja
nobena od izjem iz točk od (b) do (j), pridobitev izrecne privolitve v skladu s pogoji za veljavno
privolitev v Splošni uredbi o varstvu podatkov ostaja edina mogoča zakonita izjema za
obdelavo takih podatkov.15
2.3 Področje uporabe člena 6(1)(b)
22. Člen 6(1)(b) se uporablja, kadar je izpolnjen kateri koli od dveh pogojev: zadevna obdelava mora biti
objektivno potrebna za izvajanje pogodbe s posameznikom, na katerega se nanašajo osebni podatki,
ali obdelava mora biti objektivno potrebna za sprejetje pred-pogodbenih ukrepov na zahtevo
posameznika, na katerega se nanašajo osebni podatki.
2.4 Potrebnost
23. Potrebnost obdelave je temeljni pogoj za oba dela člena 6(1)(b). Na začetku je pomembno poudariti,
da koncept, kaj je „potrebno za izvajanje pogodbe“, ni preprosto ocena, kaj je dovoljeno v skladu s
pogodbenimi pogoji ali kaj je v njih zapisano. Pojem potrebnosti (nujnosti) je v pravu Evropske unije
samostojen pojem, ki mora ustrezati namenom prava varstva podatkov16. Zato vključuje tudi
upoštevanje temeljne pravice do zasebnosti in varstva osebnih podatkov17 ter zahtev načel varstva
podatkov, vključno zlasti z načelom pravičnosti.
24. Na začetku je treba opredeliti namen obdelave, saj so lahko v okviru pogodbenega razmerja nameni
obdelave različni. Navedeni nameni morajo biti jasno določeni in sporočeni posamezniku, na
katerega se nanašajo osebni podatki, v skladu z obveznostmi upravljavca glede omejitev namena in
preglednosti.
25. Ocena, kaj je „potrebno“, zajema kombinirano, na dejstvih utemeljeno oceno obdelave v zvezi s
postavljenim ciljem in, ali gre pri tem za manjše poseganje kot pri drugih možnostih za dosego istega
cilja18. Če so na voljo druge realne, manj vsiljive možnosti, obdelava ni „potrebna“19. Člen 6(1)(b) ne
15 Smernice Delovne skupine iz člena 29 o privolitvi na podlagi Uredbe 2016/679 (WP259), ki jih je potrdil Evropski odbor za varstvo podatkov, stran 20. 16 SEU je v zadevi Huber navedlo, da gre pri pojmu potrebnosti (nujnosti) „za samostojen pojem prava Skupnosti, ki ga je treba razlagati tako, da popolnoma ustreza namenu te direktive [Direktive 95/46], kot je opredeljen v njenem členu 1(1)”. Sodba Sodišča EU z dne 18. decembra 2008, Heinz Huber/Bundesrepublik Deutschland, C‑524/06, točka 52. 17 Glej člena 7 in 8 Listine Evropske unije o temeljnih pravicah. 18 Glej zbirko orodij ENVP: Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit (Ocenjevanje potrebnosti ukrepov, ki omejujejo temeljno pravico do varstva osebnih podatkov: zbirka orodij), stran 5. 19 V zadevi Schecke je SEU razsodilo, da b moral zakonodajalec pri preučevanju potrebnosti obdelave osebnih podatkov upoštevati alternativne, manj vsiljive ukrepe. Sodba Sodišča EU z dne 9. novembra 2010, združeni zadevi Volker und Markus Schecke GbR in Hartmut Eifert/Land Hessen, C‑92/09 in C‑93/09. SEU je to ponovilo v zadevi Rīgas, v kateri je razsodilo: „Glede pogoja v zvezi s potrebnostjo obdelave podatkov je treba opozoriti, da morajo biti odstopanja in omejitve varstva osebnih podatkov strogo omejeni na tisto, kar je nujno.“ Sodba Sodišča EU, Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde/Rīgas pašvaldības SIA „Rīgas satiksme“, C‑13/16, točka 30. Za kakršne koli omejitve pri uresničevanju pravic do zasebnosti in do varstva osebnih podatkov v zvezi z obdelavo osebnih podatkov je potreben strog preskus. Glej zbirko orodij ENVP: Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit (Ocenjevanje potrebnosti ukrepov, ki omejujejo temeljno pravico do varstva osebnih podatkov: zbirka orodij), stran 7.
9 Sprejeto
zajema obdelave, ki je sicer koristna, vendar objektivno ni potrebna za izvajanje pogodbene storitve
ali sprejetje pred-pogodbenih ukrepov na zahtevo posameznika, na katerega se nanašajo osebni
podatki, četudi je potrebna za druge upravljavčeve poslovne namene.
2.5 Potrebno za izvajanje pogodbe s posameznikom, na katerega se nanašajo osebni
podatki
26. Upravljavec se lahko pri obdelavi osebnih podatkov opre na prvo možnost iz člena 6(1)(b), kadar
lahko v skladu s svojimi obveznostmi glede odgovornosti v skladu s členom 5(2) dokaže, da obdelava
poteka v okviru veljavne pogodbe s posameznikom, na katerega se nanašajo osebni podatki, in da je
obdelava potrebna za izvajanje zadevne pogodbe s posameznikom, na katerega se nanašajo osebni
podatki. Če upravljavci ne morejo dokazati, da (a) je pogodba sklenjena, (b) je pogodba veljavna v
skladu z nacionalno pogodbeno zakonodajo, ki se uporablja, in (c) je obdelava objektivno potrebna za
izvajanje pogodbe, bi morali za obdelavo upoštevati drugo pravno podlago.
27. Le sklicevanje na obdelavo podatkov ali omemba take obdelave v pogodbi ni dovolj, da bi zadevna
obdelava spadala na področje uporabe člena 6(1)(b). Po drugi strani je obdelava lahko objektivno
potrebna tudi, če ni posebej navedena v pogodbi. Upravljavec mora v vsakem primeru izpolniti
obveznosti glede preglednosti. Kadar želi upravljavec dokazati, da obdelava temelji na izvajanju
pogodbe s posameznikom, na katerega se nanašajo osebni podatki, je pomembno oceniti, kaj je za
izvajanje pogodbe objektivno potrebno. „Potrebno za izvajanje pogodbe“ jasno zahteva nekaj več kot
le pogodbeno določilo. To je jasno tudi z vidika upoštevanja člena 7(4). Čeprav se ta določba nanaša
le na veljavnost privolitve, ponazarja razliko med dejavnostmi obdelave, potrebnimi za izvajanje
pogodbe, in določili, ki storitev pogojujejo z nekaterimi dejavnostmi obdelave, ki za izvajanje
pogodbe dejansko niso potrebne.
28. V zvezi s tem Evropski odbor za varstvo podatkov potrjuje smernice, ki jih je že prej sprejela Delovna
skupina iz člena 29, o enakovredni določbi iz prej veljavne direktive, da obdelava, „potrebna za
izvajanje pogodbe s posameznikom, na katerega se nanašajo osebni podatki“ in
ki jo je treba razlagati ozko, ne zajema primerov, v katerih obdelava ni resnično potrebna za
izvajanje pogodbe, ampak jo upravljavec enostransko vsili posamezniku, na katerega se
osebni podatki nanašajo. Tudi dejstvo, da pogodba zajema nekatere postopke obdelave
podatkov, ne pomeni samodejno, da je obdelava potrebna za njeno izvajanje. Tudi če so te
dejavnosti obdelave posebej omenjene v drobnem tisku v pogodbi, to samo po sebi ne
pomeni, da so „potrebne“ za izvajanje pogodbe.20
29. Evropski odbor za varstvo podatkov v zvezi z istimi smernicami Delovne skupine iz člena 29 opozarja
še, da je v njih navedeno:
Obstaja jasna povezava med oceno potrebnosti in skladnostjo z načelom omejitve namena.
Pomembno je opredeliti natančno utemeljitev pogodbe, to je njeno vsebino in temeljne cilje,
saj bo glede na to preskušeno, ali je obdelava podatkov potrebna za izvajanje pogodbe.21
20 Mnenje Delovne skupine iz člena 29 št. 6/2014 o pojmu zakonitih interesov upravljavca podatkov iz člena 7 Direktive 95/46/ES (WP217), stran 17. 21 Prav tam.
10 Sprejeto
30. Pri oceni, ali je člen 6(1)(b) ustrezna pravna podlaga za obdelavo v okviru spletne pogodbene storitve,
je treba upoštevati zadevni smoter, namen ali cilj storitve. Za uporabo člena 6(1)(b) mora biti
obdelava objektivno potrebna za namen, ki je sestavni del dobave pogodbene storitve posamezniku,
na katerega se nanašajo osebni podatki. To ne izključuje obdelave plačilnih podatkov za namen
zaračunavanja storitve. Upravljavec bi moral biti zmožen dokazati, da glavnega predmeta specifične
pogodbe s posameznikom, na katerega se nanašajo osebni podatki, dejansko ni mogoče izpolniti brez
specifične obdelave zadevnih osebnih podatkov. Pomembno vprašanje v zvezi s tem se nanaša na
povezavo med zadevnimi osebnimi podatki in dejanji obdelave ter izvajanjem ali neizvajanjem
storitve v skladu s pogodbo.
31. Pogodbe o digitalnih storitvah lahko med drugim vključujejo izrecne pogoje z dodatnimi zahtevami,
glede oglaševanja, plačil ali piškotkov. Pogodba ne more umetno razširiti kategorij osebnih podatkov
ali vrst dejanj obdelave, ki jih mora opraviti upravljavec za izvedbo pogodbe v smislu člena 6(1)(b).
32. Upravljavec mora biti sposoben utemeljiti potrebnost obdelave s sklicevanjem na temeljni in
sporazumno dogovorjen pogodbeni namen. To ni odvisno le od upravljavčevega stališča, temveč tudi
od razumnega stališča posameznika, na katerega se nanašajo osebni podatki, pri sklepanju pogodbe
in od tega, ali se lahko pogodba še vedno šteje za „izvedeno“ brez zadevne obdelave. Čeprav lahko
upravljavec meni, da je obdelava potrebna za pogodbeni namen, je pomembno, da skrbno preveri
stališče povprečnega posameznika, na katerega se nanašajo osebni podatki, in tako poskrbi, da
obstaja resnično skupno razumevanje pogodbenega namena.
33. Pri ocenjevanju, ali se uporablja člen 6(1)(b), so lahko v pomoč naslednja vprašanja:
• Kakšna je narava storitve, ki se zagotavlja posamezniku, na katerega se nanašajo osebni
podatki? Katere so njene razlikovalne značilnosti?
• Kakšna je kavza pogodbe (tj. njena vsebina in temeljni cilj)?
• Kateri so bistveni elementi pogodbe?
• Katera so vzajemna stališča in pričakovanja pogodbenih strank? Kako se storitev
promovira ali oglašuje posamezniku, na katerega se nanašajo osebni podatki? Ali bi
običajen uporabnik storitve upravičeno pričakoval, da bo glede na naravo storitve
predvidena obdelava potekala z namenom izvajanja pogodbe, katere stranka je?
34. Če je iz ocene, kaj je „potrebno za izvajanje pogodbe“, ki se mora opraviti pred začetkom obdelave,
razvidno, da predvidena obdelava presega, kar je objektivno potrebno za izvajanje pogodbe, to ne
pomeni, da bo vsaka taka prihodnja obdelava sama po sebi nezakonita. Kakor je bilo že navedeno,
člen 6 jasno določa, da so pred začetkom obdelave lahko na voljo druge zakonite podlage22.
35. Če se v življenjski dobi storitve uvede nova tehnologija, ki spremeni način obdelave osebnih
podatkov, ali če se storitev drugače razvije, je treba zgoraj navedena merila znova oceniti, da se
ugotovi, ali lahko nova ali spremenjena dejanja obdelave temeljijo na členu 6(1)(b).
22 Glej Smernice Delovne skupine iz člena 29 o privolitvi na podlagi Uredbe 2016/679 (WP259), ki jih je potrdil Evropski odbor za varstvo podatkov, stran 32, v katerih je navedeno: „V okviru Splošne uredbe o varstvu podatkov ni mogoče prehajati z ene pravne podlage na drugo.“
11 Sprejeto
1. primer
Posameznik, na katerega se nanašajo osebni podatki, pri spletnem prodajalcu kupi določene izdelke.
Posameznik, na katerega se nanašajo osebni podatki, želi plačati s kreditno kartico in dostavo
izdelkov na njegov domači naslov. Za izpolnitev pogodbe mora prodajalec obdelati podatke o kreditni
kartici posameznika, na katerega se nanašajo osebni podatki, ter podatke o naslovu za izstavitev
računa za namen plačila in o domačem naslovu posameznika, na katerega se nanašajo osebni
podatki, za dostavo. Tako se člen 6(1)(b) uporablja kot pravna podlaga za te dejavnosti obdelave.
Če pa stranka izbere pošiljanje na prevzemno mesto, obdelava podatkov o domačem naslovu
posameznika, na katerega se nanašajo osebni podatki, ni več potrebna za izvajanje prodajne
pogodbe. Vsaka obdelava podatkov o naslovu posameznika, na katerega se nanašajo osebni podatki,
v tem okviru zahteva drugo pravno podlago kot člen 6(1)(b).
2. primer
Isti spletni prodajalec želi na podlagi uporabniških obiskov spletišča oblikovati profile, ki bodo
zajemali podatke o uporabnikovih okusih in življenjskih odločitvah. Izpolnitev prodajne pogodbe ni
odvisna od oblikovanja takih profilov. Tudi če je oblikovanje profilov izrecno navedeno v pogodbi, to
samo po sebi ne pomeni, da je „potrebno“ za izvajanje pogodbe. Če želi spletni prodajalec izvesti
tako oblikovanje profilov, se mora opreti na drugo pravno podlago.
36. Upravljavci lahko v mejah pogodbenega prava in, kadar je to potrebno, potrošniškega prava po svoji
želji oblikujejo svoje poslovanje, storitve in pogodbe. V določenih primerih želi upravljavec združiti
več ločenih storitev ali delov storitve z različnimi temeljnimi nameni, lastnostmi ali razlogi v eno
pogodbo. To lahko posameznike, na katere se nanašajo osebni podatki in ki jih morda zanima le ena
od teh storitev, vodi v položaj „vzemi ali pusti“.
37. V skladu z zakonodajo o varstvu podatkov bi morali upravljavci upoštevati, da morajo imeti
predvidene dejavnosti obdelave ustrezno pravno podlago. Če se pogodba nanaša na več storitev ali
delov storitve, ki se lahko dejansko razumno izvedejo neodvisno druga od druge, se postavi
vprašanje, v katerem obsegu se lahko člen 6(1)(b) uporablja kot pravna podlaga. Uporabo
člena 6(1)(b) bi bilo treba oceniti ločeno za vsako posamezno storitev, pri čemer bi bilo treba
preveriti, kaj je objektivno potrebno za izvedbo vsake posamezne storitve, ki jo je posameznik, na
katerega se nanašajo osebni podatki, aktivno zahteval ali se nanjo prijavil. Ta ocena lahko razkrije, da
nekatere dejavnosti obdelave niso potrebne za posamezne storitve, ki jih je zahteval posameznik, na
katerega se nanašajo osebni podatki, temveč za upravljavčev širši poslovni model. V takem primeru
člen 6(1)(b) ne bo pravna podlaga za navedene dejavnosti. Vendar pa so za to obdelavo lahko na
voljo druge pravne podlage, na primer člen 6(1)(a) ali (f), če so izpolnjena ustrezna merila. Zato
presoja, ali se uporablja člen 6(1)(b), ne vpliva na zakonitost pogodbe ali združevanje storitev kot
takih.
38. Kot je že ugotovila Delovna skupina iz člena 29, se pravna podlaga uporablja le za to, kar je potrebno
za izvajanje pogodbe23. Kot taka se ne uporablja samodejno za vsa nadaljnja dejanja, ki jih sproži
23 Mnenje delovne skupine iz člena 29 št. 6/2014 o pojmu zakonitih interesov upravljavca podatkov iz člena 7 Direktive 95/46/ES (WP217), strani 17–18.
12 Sprejeto
neizvajanje pogodbe, ali za vse druge neželene dogodke pri izvajanju pogodbe. Lahko pa so nekatera
dejanja razumno predvidena in potrebna v okviru običajnega pogodbenega razmerja, kot je pošiljanje
uradnih opominov glede neporavnanih plačil ali odpravljanje napak ali zamud pri izvajanju pogodbe.
Člen 6(1)(b) lahko zajema obdelavo osebnih podatkov, ki je potrebna v zvezi s takimi dejanji.
3. primer
Družba prodaja izdelke po spletu. Stranka se nanjo obrne, ker je barva kupljenega izdelka drugačna
od dogovorjene. Obdelava osebnih podatkov stranke za namen odprave te težave lahko temelji na
členu 6(1)(b).
39. Pogodbena garancija je lahko del izvajanja pogodbe, zato je za namen garancij shranjevanje
določenih podatkov za določen čas po zaključku izmenjave blaga, storitev ali plačila morda potrebno
za izvedbo pogodbe.
2.6 Prenehanje pogodbe
40. Upravljavec mora pred začetkom obdelave opredeliti ustrezno pravno podlago za predvidena dejanja
obdelave. Kadar je podlaga za nekatere ali vse dejavnosti obdelave člen 6(1)(b), bi moral upravljavec
predvideti, kaj se zgodi, če pogodba preneha24.
41. Kadar obdelava osebnih podatkov temelji na členu 6(1)(b) in pogodba v celoti preneha, obdelava teh
podatkov praviloma ne bo več potrebna za izvajanje navedene pogodbe, zato bo moral upravljavec
prenehati z obdelavo. Posameznik, na katerega se nanašajo osebni podatki, je lahko v okviru
pogodbenega razmerja predložil svoje osebne podatke v prepričanju, da bodo podatki obdelani le kot
nujni del navedenega razmerja. Zato na splošno ni pošteno preiti na novo pravno podlago, če prvotna
pravna podlaga preneha obstajati.
42. Kadar pogodba preneha, to lahko zajema nekaj administracije, kot je vračilo blaga ali plačila.
Povezana obdelava lahko temelji na členu 6(1)(b).
43. Člen 17(1)(a) določa, da se osebni podatki izbrišejo, ko niso več potrebni za namene, za katere so bili
zbrani. To pa ne velja, če je obdelava potrebna za nekatere specifične namene, vključno z
izpolnjevanjem pravne obveznosti v skladu s členom 17(3)(b), ali za uveljavljanje, izvajanje ali
obrambo pravnih zahtevkov v skladu s členom 17(3)(e). V praksi morajo upravljavci, kadar menijo, da
gre za splošno potrebo po hrambi evidenc za pravne namene, opredeliti pravno podlago za to na
začetku obdelave in takrat tudi jasno sporočiti, kako dolgo nameravajo hraniti evidence za te pravne
namene po prenehanju pogodbe. Če to storijo, jim ob prenehanju pogodbe podatkov ni treba
izbrisati.
44. Vsekakor je lahko na začetku obdelave opredeljenih več dejanj obdelave z različnimi nameni in
pravnimi podlagami. Dokler so ta druga dejanja obdelave zakonita in če je o njih upravljavec jasno
obvestil posameznika ob začetku obdelave v skladu z obveznostmi glede preglednosti po Splošni
24 Če je pogodba pozneje razveljavljena, bo to vplivalo na zakonitost (kakor je razumljena v členu 5(1)(a)) nadaljnje obdelave. Kljub temu to samo po sebi ne pomeni, da je bila izbira člena 6(1)(b) za pravno podlago nepravilna.
13 Sprejeto
uredbi o varstvu podatkov, bo po prenehanju pogodbe osebne podatke o posamezniku, na katerega
se nanašajo osebni podatki, še vedno mogoče obdelovati za navedene ločene namene.
4. primer
Ponudnik spletne storitve ponuja naročniško storitev, ki jo je mogoče kadar koli preklicati. Ko je
pogodba o storitvi sklenjena, upravljavec posameznika, na katerega se nanašajo osebni podatki,
seznani z informacijami o obdelavi osebnih podatkov.
Upravljavec med drugim pojasni, da bo podatke o uporabi storitve za izdajanje računov obdeloval,
dokler pogodba velja. Veljavna pravna podlaga je člen 6(1)(b), saj se obdelava za namene izdajanja
računov lahko šteje za objektivno potrebno za izvajanje pogodbe. Vendar pa bo ob prenehanju
pogodbe zgodovina uporabe izbrisana, če ni nobenih še nerešenih, pomembnih pravnih zahtevkov ali
pravnih zahtev v zvezi s hrambo podatkov.
Poleg tega upravljavec posameznike, na katere se nanašajo osebni podatki, obvesti, da ima po
nacionalni zakonodaji pravno obveznost, da nekatere osebne podatke hrani določeno število let za
računovodske namene. Ustrezna pravna podlaga je člen 6(1)(c), podatki pa se bodo hranili tudi, če
pogodba preneha.
2.7 Potrebno za izvajanje ukrepov pred sklenitvijo pogodbe
45. Druga možnost člena 6(1)(b) se uporablja, kadar je obdelava potrebna za izvajanje ukrepov na
zahtevo posameznika, na katerega se nanašajo osebni podatki, pred sklenitvijo pogodbe. Ta določba
odraža dejstvo, da je pred sklenitvijo pogodbe lahko potrebna predhodna obdelava osebnih
podatkov, da se olajša dejanska sklenitev te pogodbe.
46. V trenutku obdelave morda ne bo jasno, ali bo pogodba dejansko sklenjena. Kljub temu se lahko
druga možnost člena 6(1)(b) uporabi, če posameznik, na katerega se nanašajo osebni podatki,
predloži zahtevo v okviru morebitne sklenitve pogodbe in je zadevna obdelava potrebna za izvajanje
zahtevanih ukrepov. V skladu s tem lahko, kadar se posameznik, na katerega se nanašajo osebni
podatki, obrne na upravljavca in poizveduje o podrobnostih upravljavčevih storitvenih ponudb,
obdelava osebnih podatkov o posamezniku, na katerega se nanašajo osebni podatki, za odzivanje na
njegovo poizvedbo temelji na členu 6(1)(b).
47. V nobenem primeru ta določba ne zajema nenaročenega trženja ali druge obdelave, ki se izvaja le na
pobudo upravljavca podatkov ali na zahtevo tretje osebe.
5. primer
Posameznik, na katerega se nanašajo osebni podatki, navede poštno številko, da preveri, ali določen
ponudnik storitev deluje na njegovem območju. To se lahko šteje za obdelavo, potrebno za izvajanje
ukrepov na zahtevo posameznika, na katerega se nanašajo osebni podatki, pred sklenitvijo pogodbe v
skladu s členom 6(1)(b).
14 Sprejeto
6. primer
V nekaterih primerih so finančne institucije v skladu z nacionalno zakonodajo dolžne ugotoviti
identiteto svojih strank. V skladu s tem banka še pred sklenitvijo pogodbe od posameznikov, na
katere se nanašajo osebni podatki, zahteva vpogled v njihove osebne dokumente.
V tem primeru je ugotavljanje identitete potrebno zaradi pravne obveznosti banke, in ne zaradi
izvajanja ukrepov na zahtevo posameznika, na katerega se nanašajo osebni podatki. Zato ustrezna
pravna podlaga ni člen 6(1)(b), temveč člen 6(1)(c).
3 DEL 3 – UPORABA ČLENA 6(1)(B) V POSEBNIH PRIMERIH
3.1 Obdelava zaradi izboljšave storitve25
48. Spletne storitve pogosto zbirajo podrobne informacije o načinu, kako se uporabniki odzivajo na
njihovo storitev. V večini primerov zbiranja organizacijskih metrik v zvezi s storitvijo ali podatkov o
uporabnikovem odzivu ni mogoče šteti za potrebno za opravljanje storitve, saj bi se storitev lahko
izvedla brez obdelave takih osebnih podatkov. Kljub temu bi se ponudnik storitev lahko oprl na druge
pravne podlage za to obdelavo, kot je zakoniti interes ali privolitev.
49. Evropski odbor za varstvo podatkov meni, da člen 6(1)(b) običajno ne bi bil ustrezna pravna podlaga
za obdelavo za namene izboljšave storitve ali razvoja novih funkcij v okviru obstoječe storitve. V
večini primerov uporabnik sklene pogodbo zaradi uporabe obstoječe storitve. Čeprav je lahko
možnost izboljšav in sprememb storitve redno vključena v pogodbene določbe, take obdelave
običajno ni mogoče šteti za objektivno potrebno za izvajanje pogodbe z uporabnikom.
3.2 Obdelava zaradi preprečevanja goljufij
50. Kakor je že navedla Delovna skupina iz člena WP2926, obdelava za namene preprečevanja goljufij
lahko vključuje spremljanje in oblikovanje profilov strank. Evropski odbor za varstvo podatkov meni,
da je verjetno, da taka obdelava presega, kar je objektivno potrebno za izvajanje pogodbe s
posameznikom, na katerega se nanašajo osebni podatki. Kljub temu lahko obdelava osebnih
podatkov, nujno potrebna za preprečevanje zlorab, pomeni zakoniti interes upravljavca podatkov27,
zaradi česar bi se lahko štela za zakonito, če upravljavec podatkov izpolni posebne zahteve iz
člena 6(1)(f) (zakoniti interesi). Poleg tega bi lahko pravno podlago za tako obdelavo podatkov
predstavljal tudi člen 6(1)(c) (pravna obveznost).
3.3 Obdelava zaradi spletnega vedenjskega oglaševanja
25 Za spletne storitve se bo morda morala upoštevati tudi Direktiva (EU) 2019/770 Evropskega parlamenta in Sveta z dne 20. maja 2019 o nekaterih vidikih pogodb o dobavi digitalne vsebine in digitalnih storitev (UL L 136, 22.5.2019, str. 1), ki se bo začela uporabljati 1. januarja 2022. 26 Mnenje Delovne skupine iz člena 29 št. 6/2014 o pojmu zakonitih interesov upravljavca podatkov iz člena 7 Direktive 95/46/ES (WP217), stran 17. 27 Glej uvodno izjavo 47, šesti stavek.
15 Sprejeto
51. Spletno vedenjsko oglaševanje ter s tem povezano sledenje in profiliranje posameznikov, na katere
se nanašajo osebni podatki, se pogosto uporabljajo za financiranje spletnih storitev. Delovna skupina
iz člena 29 je v svojem stališču o taki obdelavi navedla:
[pogodbena potrebnost] ni primerna pravna podlaga za oblikovanje profila uporabnikovih
okusov in življenjskih odločitev na podlagi klikov na spletnem mestu in kupljenih izdelkov.
Pogodba z upravljavcem podatkov namreč ni bila sklenjena za oblikovanje profila, ampak, na
primer, za dobavo nekega blaga in opravljanje nekih storitev.28
52. Praviloma obdelava osebnih podatkov zaradi vedenjskega oglaševanja ni potrebna za izvajanje
pogodbe o spletnih storitvah. Običajno bi bilo težko dokazati, da pogodba ni bila izvedena, ker ni bilo
vedenjskih oglasov. To potrjuje dejstvo, da imajo posamezniki, na katere se nanašajo osebni podatki,
po členu 21 absolutno pravico ugovarjati obdelavi njihovih podatkov za namene neposrednega
trženja.
53. Poleg tega člen 6(1)(b) ne more predstavljati pravne podlage za spletno vedenjsko oglaševanje
preprosto zato, ker tako oglaševanje posredno financira opravljanje storitve. Čeprav taka obdelava
lahko podpira izvajanje storitve, to samo po sebi ni dovolj za ugotovitev, da je potrebna za izvajanje
zadevne pogodbe. Upravljavec bi moral upoštevati dejavnike, orisane v točki 33 zgoraj.
54. Glede na to, da je varstvo podatkov temeljna pravica, zajamčena s členom 8 Listine EU o temeljnih
pravicah, in ob upoštevanju, da je eden glavnih namenov Splošne uredbe o varstvu podatkov
posameznikom, na katere se nanašajo osebni podatki, zagotoviti nadzor nad informacijami v zvezi z
njimi, osebnih podatkov ni mogoče šteti za blago, s katerim je mogoče trgovati. Tudi če lahko
posameznik, na katerega se nanašajo osebni podatki, soglaša z obdelavo osebnih podatkov29, s tem
soglasjem ne more odsvojiti svojih temeljnih pravic30.
55. Evropski odbor za varstvo podatkov poudarja še, da morajo upravljavci v skladu z zahtevami glede
digitalne zasebnosti in danim mnenjem Delovne skupine iz člena 29 o vedenjskem oglaševanju31 ter
Delovnim dokumentom 2/2013 o dajanju smernic o pridobivanju privolitve za piškotke32 pridobiti
predhodno privolitev posameznikov, na katere se nanašajo osebni podatki, za namestitev piškotkov,
potrebnih za izvajanje vedenjskega oglaševanja.
56. Evropski odbor za varstvo podatkov poudarja še, da se sledenje in profiliranje uporabnikov lahko
izvaja z namenom identifikacije skupin posameznikov s podobnimi lastnostmi, da se omogoči ciljno
oglaševanje, namenjeno podobnim ciljnim skupinam. Take obdelave ni mogoče izvajati na podlagi
člena 6(1)(b), saj ni mogoče trditi, da sta spremljanje in primerjava značilnosti ter vedenja
28 Mnenje Delovne skupine iz člena 29 št. 6/2014 o pojmu zakonitih interesov upravljavca podatkov iz člena 7 Direktive 95/46/ES (WP217), stran 17. 29 Glej Direktivo (EU) 2019/770 Evropskega parlamenta in Sveta z dne 20. maja 2019 o nekaterih vidikih pogodb o dobavi digitalne vsebine in digitalnih storitev. 30 Poleg tega, da Splošna uredba o varstvu podatkov ureja uporabo osebnih podatkov, so še dodatni razlogi, zakaj se obdelava osebnih podatkov konceptualno razlikuje od denarnih plačil. Denar lahko na primer štejemo, kar pomeni, da se cene lahko primerjajo na konkurenčnem trgu, denarna plačila pa se lahko običajno izvedejo le z vključenostjo posameznika, na katerega se nanašajo osebni podatki. Poleg tega lahko osebne podatke izkorišča več storitev hkrati. Ko se izgubi nadzor nad osebnimi podatki o nekom, ni nujno, da bo ta nadzor mogoče znova vzpostaviti. 31 Mnenje Delovne skupine iz člena 29 št. 2/2010 o spletnem vedenjskem oglaševanju (WP171). 32 Article 29 Working Party Working Document 02/2013 providing guidance on obtaining consent for cookies (Delovni dokument Delovne skupine iz člena 29 št. 2/2013 o zagotavljanju smernic o pridobivanju privolitve za piškotke) (WP208).
16 Sprejeto
uporabnikov za namene, povezane z oglaševanjem, ki je namenjeno drugim posameznikom,
objektivno potrebna za izvajanje pogodbe z uporabnikom33.
3.4 Obdelava zaradi osebne prilagoditve vsebine34
57. Evropski odbor za varstvo podatkov potrjuje, da je lahko osebna prilagoditev vsebine (vendar ne
vedno) neločljivi in pričakovani del nekih spletnih storitev, zaradi česar se lahko v določenih primerih
šteje za potrebno za izvajanje pogodbe z uporabnikom storitev. To, ali se taka obdelava lahko šteje za
neločljiv vidik spletne storitve, je odvisno od narave opravljene storitve, pričakovanj povprečnega
posameznika, na katerega se nanašajo osebni podatki, ne le glede pogojev storitve, temveč tudi
glede načina, kako se storitev promovira uporabnikom, in ali je storitev mogoče opraviti brez osebne
prilagoditve. Če osebna prilagoditev vsebine ni objektivno potrebna za namen temeljne pogodbe,
kadar je na primer dobava osebno prilagojene vsebine namenjena povečanju uporabnikovega odziva
na storitev, ni pa sestavni del uporabe storitve, bi morali upravljavci podatkov, kjer je primerno
upoštevati drugo pravno podlago.
7. primer
Spletni iskalnik hotelov spremlja pretekle rezervacije uporabnikov, da oblikuje profil njihove običajne
potrošnje. Ta profil se nato uporablja za priporočilo uporabnikom določenih hotelov v prikazu
rezultatov iskanja. V tem primeru oblikovanje profila uporabnikovih preteklih vedenjskih in finančnih
podatkov ne bi bilo nujno objektivno potrebno za izvajanje pogodbe, tj. opravljanje gostinskih
storitev na podlagi posameznih iskalnih meril, ki jih v iskalnik vnese uporabnik. Zato se člen 6(1)(b) ne
bi mogel uporabljati za to dejavnost obdelave.
8. primer
Spletna tržnica potencialnim kupcem omogoča iskanje in nakup izdelkov. Tržnica želi prikazati osebno
prilagojene nasvete za izdelke na podlagi seznamov, ki so si jih potencialni kupci prej ogledali na
platformi, da bi tako povečala interaktivnost. Ta osebna prilagoditev ni objektivno potrebna za
opravljanje storitve tržnice. Zato se taka obdelava osebnih podatkov ne more sklicevati na
člen 6(1)(b) kot pravno podlago.
33 Glej tudi Smernice Delovne skupine iz člena 29 o avtomatiziranem sprejemanju posameznih odločitev in oblikovanju profilov za namene Uredbe (EU) 2016/679 (WP251rev.01), ki jih je potrdil Evropski odbor za varstvo podatkov, stran 13. 34 Za spletne storitve se bo morda morala upoštevati tudi Direktiva (EU) 2019/770 Evropskega parlamenta in Sveta z dne 20. maja 2019 o nekaterih vidikih pogodb o dobavi digitalne vsebine in digitalnih storitev (UL L 136, 22.5.2019, str. 1), ki se bo začela uporabljati 1. januarja 2022.